翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検出結果の詳細
Amazon GuardDuty コンソールでは、結果の概要セクションで結果の詳細を確認できます。検出結果の詳細は検出結果のタイプによって異なります。
検出結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つ目はリソースタイプです。これは、Instance
、AccessKey
、S3Bucket
、Kubernetes cluster
、ECS
cluster
、Container
、RDSDBInstance
または Lambda
です。情報の検出結果を決定する 2 つ目の詳細は [リソースロール] です。リソースロールは、アクセスキー用の Target
である可能性があります。つまり、リソースが疑わしいアクティビティのターゲットであったことを意味します。インスタンスタイプの検出結果については、リソースロールが Actor
である場合があります。つまり、リソースが不審なアクティビティを実行するアクターだったことを意味します。このトピックでは、検出結果の一般的に入手可能な詳細をいくつか説明します。
検出結果の概要
検出結果の概要のセクションには、次の情報を含む、検索条件の最も基本的な識別機能が含まれています。
-
アカウント ID — AWS GuardDuty この結果の生成を促したアクティビティが行われたアカウントの ID。
-
カウント — このパターンに一致するアクティビティをこの結果 ID GuardDuty に集約した回数。
-
作成時刻 - この検出結果が初めて生成された日時。この値が [Updated at] (更新時刻) と異なる場合は、そのアクティビティが複数回発生しており、現在も進行中の問題でありことを示しています。
注記
GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示され、JSON エクスポートと CLI 出力のタイムスタンプは UTC で表示されます。
-
[Finding ID] (結果 ID) - この検出結果タイプおよびパラメータセットに対応する一意の識別子です。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。
-
[結果タイプ] - 検出結果をトリガーしたアクティビティのタイプを表す、書式設定された文字列。詳細については、「GuardDuty の検出結果の形式」を参照してください。
-
リージョン — AWS 結果が生成されたリージョン。サポートされるリージョンについては、「リージョンとエンドポイント」を参照してください。
-
リソース ID — AWS GuardDuty この結果の生成を促したアクティビティの対象となったリソースの ID。
-
スキャン ID — GuardDuty Malware Protection が有効になっている場合の検出結果に適用され、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームで実行されるマルウェアスキャンの識別子です。詳細については、「Malware Protection の検出結果詳細」を参照してください。
-
重要度 - [High] (高)、[Medium] (中)、[Low] (低) のいずれかで割り当てられた検出結果の重要度。詳細については、「 GuardDuty 調査結果の重要度レベル」を参照してください。
-
更新日 — GuardDuty この検出結果の生成を促したパターンと一致する新しいアクティビティで検出結果が最後に更新された日時。
リソース
影響を受けるリソースには、 AWS 開始アクティビティの対象となったリソースに関する詳細が表示されます。利用可能な情報は、リソースタイプとアクションタイプによって異なります。
リソースロール — AWS 調査を開始したリソースのロール。値は [TARGET] または [ACTOR] で、それぞれの値は、リソースが疑わしいアクティビティの対象であったか、疑わしいアクティビティを実行したアクターであったことを表します。
リソースタイプ - 該当するリソースのタイプ。複数のリソースが関係していた場合は、複数のリソースタイプが検出結果に含まれる可能性があります。リソースタイプは、インスタンス、S3 バケットAccessKey、ECS クラスタ、コンテナKubernetesCluster、RDSDB インスタンス、および Lambda です。リソースタイプによって、使用可能な検出結果の詳細が異なります。リソースオプションタブを選択して、そのリソースで使用可能な詳細について説明します。
RDS データベース (DB) ユーザーの詳細
注記
このセクションは、で RDS 保護機能を有効にした場合の検出結果に適用されます。 GuardDuty詳細については、「GuardDuty RDS プロテクション」を参照してください。
GuardDuty この結果から、侵害された可能性のあるデータベースのユーザーおよび認証に関する以下の詳細がわかります。
-
[User] (ユーザー) - 異常なログイン試行に使用されたユーザー名
-
[Application] (アプリケーション) — 異常なログイン試行に使用されたアプリケーション名
-
[Database] (データベース) — 異常なログイン試行に関与したデータベースインスタンスの名前
-
[SSL] — ネットワークに使用された Secure Socket Layer (SSL) のバージョン
-
[認証方法] — 検出に関与したユーザーが使用した認証方法
ランタイムモニタリングの調査結果の詳細
注記
これらの詳細情報は、 GuardDuty Runtime Monitoring の検出結果タイプのいずれかを生成した場合にのみ取得できます。
このセクションには、プロセスの詳細や必要なコンテキストなど、ランタイムの詳細が含まれています。プロセスの詳細には、観察されたプロセスに関する情報が記述され、ランタイムのコンテキストには、潜在的に疑わしいアクティビティに関する追加情報が記述されます。
プロセスの詳細
-
名前 - プロセスの名前。
-
実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。
-
実行可能ファイル SHA-256 - プロセスの実行可能ファイルの
SHA256
ハッシュ。 -
名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。
-
現在の作業ディレクトリ - プロセスの現在の作業ディレクトリ。
-
プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。
-
startTime - プロセスが開始された時間。これは UTC 日付文字列形式 (
2023-03-22T19:37:20.168Z
) です。 -
UUID — によってプロセスに割り当てられた固有の ID。 GuardDuty
-
親 UUID - 親プロセスの固有の ID。この ID はによって親プロセスに割り当てられます。 GuardDuty
-
ユーザー - プロセスを実行したユーザー。
-
ユーザー ID - プロセスを実行したユーザーの ID。
-
有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。
-
系列 - プロセスの先祖に関する情報。
-
プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。
-
UUID — によってプロセスに割り当てられた一意の ID。 GuardDuty
-
実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。
-
有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。
-
親 UUID - 親プロセスの固有の ID。この ID はによって親プロセスに割り当てられます。 GuardDuty
-
開始時間 - プロセスが開始された時間。
-
名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。
-
ユーザー ID - プロセスを実行したユーザーのユーザー ID。
-
名前 - プロセスの名前。
-
ランタイムのコンテキスト
次のフィールドから、生成された検出結果には、その検出結果タイプに関連するフィールドのみが含まれる場合があります。
-
マウントソース - コンテナによってマウントされたホスト上のパス。
-
マウントターゲット - ホストディレクトリにマッピングされているコンテナ内のパス。
-
ファイルシステムタイプ - マウントされたファイルシステムのタイプを示します。
-
フラグ - この検出結果に関係するイベントの動作をコントロールするオプションを示します。
-
プロセスの変更 - 実行時にコンテナ内でバイナリ、スクリプト、またはライブラリを作成または変更したプロセスに関する情報。
-
修正日時 - 実行時にプロセスがコンテナ内のバイナリ、スクリプト、またはライブラリを作成または変更したときのタイムスタンプ。このフィールドは、UTC 日付文字列形式 (
2023-03-22T19:37:20.168Z
)です。 -
ライブラリパス - ロードされた新しいライブラリへのパス。
-
LD プリロード値 -
LD_PRELOAD
環境変数の値。 -
ソケットパス - アクセスされた Docker ソケットへのパス。
-
Runc バイナリパス -
runc
バイナリへのパス。 -
リリースエージェントパス -
cgroup
リリースエージェントファイルへのパス。 -
コマンドラインの例 — 疑わしいと思われるアクティビティに関係するコマンドラインの例。
-
ツールカテゴリ — ツールが属するカテゴリ。例としては、バックドアツール、ペンテストツール、ネットワークスキャナー、ネットワークスニファーなどがあります。
-
ツール名 — 疑わしい可能性があるツールの名前。
-
スクリプトパス — 結果を生成した実行済みスクリプトへのパス。
-
脅威ファイルパス — 脅威インテリジェンスの詳細が見つかった疑わしいパス。
-
サービス名 — 無効になっているセキュリティサービスの名前。
EBS ボリュームのスキャンの詳細
注記
このセクションは、 GuardDuty-initiated 不正プログラムのスキャンインを有効にしたときの結果に適用されます。GuardDuty マルウェア対策
EBS ボリュームスキャンは、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームに関する詳細を提供します。
-
スキャン — マルウェアスキャンの識別子。
-
スキャン開始日 — マルウェアスキャンが開始された日時。
-
スキャン完了日 — 不正プログラムのスキャンの完了日時。
-
トリガ検索ID — GuardDuty この不正プログラム検索を開始した検出結果の検出ID。
-
ソース – 可能な値は
Bitdefender
およびAWS
です。 -
スキャン検出 — 各マルウェアスキャンの詳細と結果の全情報。
-
スキャンされたアイテム数 — スキャンされたファイルの合計数。
totalGb
、files
、およびvolumes
などの詳細を提供します。 -
脅威が検出されたアイテム数 — スキャン中に検出された悪意のある
files
の合計数。 -
最も重要度の高い脅威の詳細 — スキャン中に検出された、重要度が最も高い脅威の詳細と、悪意のあるファイルの数。
severity
、threatName
、およびcount
などの詳細を提供します。 -
名前で検出された脅威 — すべての重要度レベルの脅威をグループ化するコンテナ要素。
itemCount
、uniqueThreatNameCount
、shortened
、およびthreatNames
などの詳細を提供します。
-
Malware Protection の検出結果詳細
注記
このセクションは、 GuardDuty開始された不正プログラムのスキャンインをオンにした場合の検出結果に適用されます。GuardDuty マルウェア対策
Malware Protection スキャンでマルウェアが検出された場合は、https://console.aws.amazon.com/guardduty/
注記
GuardDutyFindingDetected
タグは、スナップショットにマルウェアが含まれていると指定します。
次の情報は、詳細パネルの「検出された脅威」セクションでご覧になれます。
-
名前 — 検出によってファイルをグループ化することによって取得された脅威の名前。
-
重要度 — 検出された脅威の重要度。
-
ハッシュ – ファイルの SHA-256 ハッシュ。
-
ファイルパス — EBS ボリューム内の悪意のあるファイルの場所。
-
ファイル名 — 脅威が検出されたファイルの名前。
-
ボリューム ARN — スキャンされた EBS ボリュームの ARN。
次の情報は、詳細パネルの「マルウェアスキャンの詳細」のセクションでご覧になれます。
-
スキャン — 不正プログラムスキャンのスキャン ID。
-
スキャン開始日 — スキャンが開始された日時。
-
スキャン完了日 — スキャンの完了日時。
-
スキャンされたファイル — スキャンされたファイルとディレクトリの合計数。
-
スキャンされた合計 GB — プロセス中にスキャンされたストレージの容量。
-
トリガー検出ID — GuardDuty このマルウェアスキャンを開始した検出結果の検出ID。
-
次の情報は、詳細パネルの「ボリュームの詳細」のセクションでご覧になれます。
-
ボリューム ARN — ボリュームの Amazon リソースネーム (ARN)。
-
SnapshotARN — EBS ボリュームのスナップショットの ARN。
-
ステータス —
Running
、Skipped
、およびCompleted
などのボリュームのスキャン状態。 -
暗号化タイプ — ボリュームの暗号化に使用される暗号化のタイプ。例えば
CMCMK
です。 -
デバイス名 - デバイスの名前。例えば
/dev/xvda
です。
-
アクション
検出結果の [Action] (アクション) は、その検出をトリガーしたアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。
[アクションタイプ] - 検出結果アクティビティのタイプ。この値は、NETWORK_CONNECTION、PORT_PROBE、DNS_REQUEST、AWS_API_CALL、RDS_LOGIN_ATTEMPT のいずれかになります。利用可能な情報は、アクションタイプによって異なります。
-
NETWORK_CONNECTION - ネットワークトラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します。このアクションタイプには、次の追加情報が含まれています。
-
接続方向 — GuardDuty 検出結果の生成を促したアクティビティで確認されたネットワーク接続方向。これには、次のいずれかの値を指定できます。
-
インバウンド - リモートホストがアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します。
-
アウトバウンド - 識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します。
-
UNKNOWN — GuardDuty 接続の方向を特定できなかったことを示します。
-
-
プロトコル — GuardDuty 結果の生成を促したアクティビティで確認されたネットワーク接続プロトコル。
-
ローカル IP (ローカル IP) - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。
-
[ブロック] - ターゲットポートがブロックされているかどうかを示します。
-
-
PORT_PROBE - リモートホストが複数のオープンポートで識別済みの EC2 インスタンスを調査したことを示します。このアクションタイプには、次の追加情報が含まれています。
-
ローカル IP - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。
-
[ブロック] - ターゲットポートがブロックされているかどうかを示します。
-
-
DNS_REQUEST - 識別済みの EC2 インスタンスがドメイン名を照会したことを示します。このアクションタイプには、次の追加情報が含まれています。
-
プロトコル — GuardDuty 結果の生成を促したアクティビティで確認されたネットワーク接続プロトコル。
-
[ブロック] - ターゲットポートがブロックされているかどうかを示します。
-
-
AWS_API_CALL - AWS API が呼び出されたことを示します。このアクションタイプには、次の追加情報が含まれています。
-
API — 呼び出され、 GuardDuty 結果を生成するように求められた API 操作の名前。
注記
これらのオペレーションは、 AWS CloudTrailによってキャプチャされる API 以外のイベントを含めることもできます。詳細については、「によってキャプチャされた非 API イベント」を参照してください。 CloudTrail
-
[ユーザーエージェント] – API リクエストを実行したユーザーエージェント。この値は、呼び出しが、 AWS サービス、 AWS SDK AWS Management Console、のいずれから行われたかを示します。 AWS CLI
-
エラーコード - API コールの失敗によって検出結果がトリガーされた場合、そのコールに対してエラーコードが表示されます。
-
サービス名 - 検出結果をトリガーした API コールを実行しようとしたサービスの DNS 名。
-
-
RDS_LOGIN_ATTEMPT — 侵害された可能性のあるデータベースに、リモート IP アドレスからログインが試行されたことを示します。
-
[IP アドレス] — 疑わしいログイン試行に使用されたリモート IP アドレス。
-
アクターまたはターゲット
[リソースロール] が TARGET
の場合には、検出結果に [アクター] セクションが表示されます。これは、リソースが疑わしいアクティビティの対象であったことを示します。また、[Actor] (アクター) セクションには、リソースを対象としたエンティティの詳細が含められます。
[リソースロール] が ACTOR
の場合には、検出結果に [ターゲット] セクションが表示されます。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。
[アクター] セクションまたは [ターゲット] セクションには、次の情報を含めることができます。
-
Affiliated — リモート API AWS 呼び出し元のアカウントがお客様の環境に関連しているかどうかに関する詳細情報。 GuardDuty この値が
true
の場合、API コール実行者は何らかの形でアカウントに関連しています。false
の場合、API コール実行者は環境外です。 -
リモートアカウント ID — 最終ネットワークのリソースへのアクセスに使用されたアウトバウンド IP アドレスを所有するアカウント ID。
-
IP アドレス — GuardDuty 結果の生成を促したアクティビティに含まれる IP アドレス。
-
場所 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスの位置情報。
-
組織 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスの ISP 組織情報。
-
ポート — GuardDuty 結果の生成を要求したアクティビティに関係するポート番号。
-
ドメイン — GuardDuty 結果の生成を促したアクティビティに関係するドメイン。
-
サフィックス付きのドメイン — GuardDuty 結果の生成を促す可能性のあるアクティビティに関係する 2 番目かつ最上位のドメイン。トップレベルドメインとセカンドレベルドメインのリストについては、「パブリックサフィックスリスト」を参照してください。
追加情報
すべての検出結果には [追加情報] セクションがあり、次のような情報が含まれます。
-
脅威リスト名 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスまたはドメイン名を含む脅威リストの名前。
-
サンプル - サンプル検出結果であるかどうかを示す true または false の値。
-
アーカイブ - 検出結果がアーカイブ済みかどうかを示す true または false の値。
-
[異常] - 履歴で確認されていないアクティビティの詳細 これらには、異常な (以前に確認されていない) ユーザー、場所、時間、バケット、ログイン動作、または ASN Org などが含まれます。
-
異常プロトコル — GuardDuty 検出結果の生成を要求したアクティビティに関係するネットワーク接続プロトコル。
-
エージェント詳細 - AWS アカウントの EKS クラスターに現在導入されているセキュリティエージェントに関する詳細。これは EKS Runtime Monitoring の検出結果タイプにのみ適用されます。
-
エージェントバージョン — GuardDuty セキュリティエージェントのバージョン。
-
エージェント ID — GuardDuty セキュリティエージェントの固有識別子。
-
証拠
脅威インテリジェンスに基づく検出結果には [証拠] セクションがあり、次のような情報が含まれます。
-
脅威インテリジェンスの詳細 —
Threat name
認識された脅威リストの名前です。 -
脅威名 — 脅威に関連するマルウェアファミリーの名前またはその他の識別子。
-
脅威ファイル SHA256 — 検出結果を生成したファイルの SHA256。
異常な動作
末尾ががの検出結果タイプは、 GuardDuty 検出結果が異常検出機械学習 (ML) AnomalousBehaviorモデルによって生成されたことを示します。機械学習モデルは、アカウントへのすべての API リクエストを評価し、相手が使用するタクティクスに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。
API リクエストのどの要素が、 CloudTrail リクエストを呼び出したユーザー ID にとって珍しいかについての詳細は、結果の詳細に記載されています。ID は CloudTrail userIdentity 要素によって定義され、指定できる値はRoot
、、、、IAMUser
AssumedRole
FederatedUser
AWSAccount
、またはです。AWSService
API GuardDuty アクティビティに関連するすべての結果の詳細に加え、AnomalousBehavior結果には次のセクションで説明する追加の詳細情報があります。これらの詳細はコンソールで表示でき、検出結果の JSON でも確認できます。
-
異常な API - 検出結果に関連付けられたプライマリ API リクエストに近いユーザーアイデンティティが原因の API リクエストのリスト。このペインでは、次の方法で API イベントの詳細をさらに分類します。
-
最初にリストされている API はプライマリ API です。プライマリ API は、観測された最も高いリスクアクティビティに関連付けられた API リクエストです。これは、発見をトリガーし、検出結果タイプの攻撃ステージと相関する API です。これは、コンソールの [アクション] セクションおよび検出結果の JSON で詳述されている API でもあります。
-
リストされている他の API は、プライマリ API の近くで観察されるリストされたユーザーアインデンティティからの追加の異常 API です。リストに API が 1 つしかない場合、機械学習モデルはそのユーザーアイデンティティからの追加の API リクエストを異常として識別しませんでした。
-
API のリストは、API が正常に呼び出されたかどうかに基づいて分類され、API が正常に呼び出されなかった場合は、エラーレスポンスが受信されたことを意味します。受信したエラーレスポンスのタイプは、それぞれ正常に呼び出されなかった API の上に一覧表示されます。考えられるエラーレスポンスのタイプは、
access denied
、access denied exception
、auth failure
、instance limit exceeded
、invalid permission - duplicate
、invalid permission - not found
、およびoperation not permitted
です。 -
API は、関連するサービスによって分類されます。
注記
その他のコンテキストについては、[Historical APIs] (過去の API) を選択し、上位 API の詳細を確認します。通常は、ユーザーアイデンティティとアカウント内のユーザーすべての両方で表示される最大 20 個の API です。API は、[めったにない(月に 1 回未満)]、[頻繁でない(月に数回)]、または [頻繁(毎日から毎週)] でマークされ、アカウント内で使用されている頻度によって異なります。
-
-
[Unusual Behavior (Account)] (異常な動作 (アカウント)) - このセクションでは、アカウントでプロファイリングされた動作に関する詳細について説明します。このパネルで追跡される情報は次のとおりです。
-
[ASN Org] (ASN 組織) - 異常な API コールが行われた ASN 組織
-
[ユーザー名] - 異常な API コールを行ったユーザーの名前。
-
ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、
aws-cli
またはBotocore
などのコールを行うために使用されるメソッドです。 -
[ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、
AWS_SERVICE
、ASSUMED_ROLE
、IAM_USER
またはROLE
です。 -
バケット — アクセスされている S3 バケットの名前。
-
-
[Unusual Behavior (User Identity)] (異常な動作 (ユーザー ID)) - このセクションでは、検出に関与したユーザーアイデンティティのプロファイリングされた動作の詳細について説明します。ある行動が過去のものとして特定されない場合、 GuardDuty ML モデルはトレーニング期間中にこのユーザー ID がこの API 呼び出しを行うのをこれまで見たことがないということです。ユーザーアイデンティティ に関する詳細については、次を参照してください。
-
[ASN 組織] - 異常な API コールが行われた元の ASN 組織。
-
ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、
aws-cli
またはBotocore
などのコールを行うために使用されるメソッドです。 -
バケット — アクセスされている S3 バケットの名前。
-
-
[Unusual Behavior (Bucket)] (異常な動作 (バケット)) - このセクションでは、検出結果に関連する、S3 バケットのプロファイリングされた動作に関する詳細について説明します。ある行動が過去のものとして識別されない場合、 GuardDuty ML モデルはトレーニング期間中にこの方法でこのバケットに対して行われた API 呼び出しをこれまで見たことがないということです。このセクションで追跡される情報は次のとおりです。
-
[ASN 組織] - 異常な API コールが行われた元の ASN 組織。
-
[ユーザー名] - 異常な API コールを行ったユーザーの名前。
-
ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、
aws-cli
またはBotocore
などのコールを行うために使用されるメソッドです。 -
[ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、
AWS_SERVICE
、ASSUMED_ROLE
、IAM_USER
またはROLE
です。
注記
過去の動作の詳細については、[異常な動作 (アカウント)]、[ユーザー ID]、または [バケット] セクションのいずれかで [過去の動作] を選択し、アカウント内での使用頻度に応じて、[頻度が低い (月に 1 回未満)]、[頻繁でない (月に数回)]、または [頻度が高い (毎日から毎週)] の各カテゴリーのアカウントで、想定される動作の詳細を表示します。
-
-
異常な動作 (データベース) - このセクションでは、検出結果に関連するデータベースインスタンスの、プロファイリングされた動作に関する詳細について説明します。ある行動が過去のものとして識別されない場合、 GuardDuty ML モデルはトレーニング期間中にこの方法でこのデータベースインスタンスへのログインを試みたことがないということです。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。
-
[User name] (ユーザー名) - 異常なログイン試行に使用されたユーザー名
-
[ASN Org] (ASN 組織) - 異常なログイン試行が行われた ASN 組織
-
[Application name] (アプリケーション名) — 異常なログイン試行に使用されたアプリケーション名
-
[データベース名] — 異常なログイン試行に関与したデータベースインスタンス名
注記
[履歴動作] セクションでは、関連するデータベースの [ユーザー名]、[ASN 組織]、[アプリケーション名]、[データベース名] について、以前に確認した内容について詳しく説明しています。固有の値にはそれぞれ、ログインが成功した際にその値が確認された回数を示すカウントが関連付けられています。
-
-
異常動作 (アカウント Kubernetes クラスター、Kubernetes 名前空間、 Kubernetes ユーザー名) - このセクションでは、検出結果に関連する、Kubernetes クラスターと名前空間の、プロファイリングされた動作に関する詳細を説明します。ある行動が過去のものとして識別されないということは、 GuardDuty ML モデルがこれまでにこのアカウント、クラスター、名前空間、またはユーザー名をこのように監視したことがないということです。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。
-
ユーザー名 — 検出結果に関連付けられた Kubernetes API を呼び出したユーザー。
-
偽装されたユーザー名 –
username
に偽装されているユーザー。 -
名前空間 — アクションが発生した Amazon EKS クラスター内の Kubernetes 名前空間。
-
ユーザーエージェント — Kubernetes API コールに関連付けられたユーザーエージェント。ユーザーエージェントは、
kubectl
などのコールを行うために使用されるメソッドです。 -
API — Amazon EKS クラスター内で
username
によって呼び出される Kubernetes API。 -
ASN 情報 — この呼び出しを行うユーザーの IP アドレスに関連付けられた、組織や ISP などの ASN 情報。
-
曜日 — Kubernetes API コールが行われた曜日。
-
アクセス権限 1 —
username
が Kubernetes API を使用できるかどうかのアクセスの確認を受ける Kubernetes の動詞とリソース。 -
サービスアカウント名1 – ワークロードに ID を提供する Kubernetes ワークロードに関連付けられたサービスアカウント。
-
レジストリ1 — Kubernetes ワークロードにデプロイした、コンテナイメージに関連付けられたコンテナレジストリ。
-
イメージ1 — Kubernetes ワークロードにデプロイされた、関連するタグやダイジェストを含まないコンテナイメージ。
-
Image Prefix Config1 — イメージを使用するコンテナの、
hostNetwork
またはprivileged
などのコンテナとワークロードセキュリティ設定が有効になっているイメージプレフィックス。 -
サブジェクト名1 —
RoleBinding
やClusterRoleBinding
内の参照ロールにバインドされているuser
、group
、serviceAccountName
などのサブジェクト。 -
ロール名1 — ロールまたは
roleBinding
API の作成や変更に関係するロールの名前。
-
S3 ボリュームベースの異常
このセクションでは、S3 ボリュームベースの異常についてのコンテキスト情報について詳しく説明します。ボリュームベースの検出結果 (Exfiltration:S3/AnomalousBehavior) は、ユーザーの S3 バケットに対する異常な数の S3 API コールをモニタリングし、データ漏えいの可能性を示します。以下の S3 の API 呼び出しは、ボリュームベースの異常検出のために監視されます。
-
GetObject
-
CopyObject.Read
-
SelectObjectContent
以下のメトリクスは、IAM エンティティが S3 バケットにアクセスするときの通常の動作のベースラインを構築するのに役立ちます。データの流出を検出するために、ボリュームベースの異常検出結果は通常の行動ベースラインに対してすべてのアクティビティを評価します。次のメトリクスを表示するには、[異常な動作]、[確認されたボリューム (ユーザーアイデンティティ)]、および [確認されたボリューム (バケット)] セクションで [過去の動作] を選択します。
-
過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された
s3-api-name
API コールの数。 -
過去 24 時間に、すべての S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された
s3-api-name
API コールの数。 -
過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された
s3-api-name
API コールの数。
RDS ログインアクティビティベースの異常
このセクションは、異常なアクターが行ったログイン試行回数の詳細について説明するものであり、ログイン試行の結果ごとにグループ分けされています。RDS Protection の検出結果タイプ はログインイベントをモニタリングして successfulLoginCount
、failedLoginCount
、incompleteConnectionCount
などの異常なパターンがないかを確認し、異常な動作を特定します。
-
successfulLoginCount— このカウンタは、異常なアクターがデータベースインスタンスに成功した接続(ログイン属性の正しい組み合わせ)の合計を表します。ログイン属性には、ユーザー名、パスワード、データベース名が含まれます。
-
failedLoginCount— このカウンタは、データベースインスタンスへの接続を確立するために失敗した(失敗した)ログイン試行の合計を表します。これは、ユーザー名、パスワード、データベース名など、ログイン情報の組み合わせの属性が 1 つ以上、正しくなかったことを示します。
-
incompleteConnectionCount— このカウンタは、成功または失敗に分類できない接続試行の回数を表します。これらの接続は、データベースが応答する前に閉じられています。例えば、データベースポートは接続されているものの情報がデータベースに送信されないポートスキャンや、ログインが成功または失敗して完了する前に接続が中止された場合などです。